アカハック対策についてのページ

Last-modified: 2012-01-08 (日) 11:43:15

基本的な対策(ゲーム内ギルド掲示板より)

以前のギルメンさんがアカハック対策について、非常に丁寧に書いていただいていたので
以下に抜粋します。
2011年5月11日のスレです。

連日、アカウントハックを見舞われている人が多いため、
基本的な対策方法をまとめてみました。
これで全て完璧ということは、ありませんので御了承下さい。

最近のマビノギでのアカウントハックの現状

 公式自由掲示板の数多くの報告によれば、根刮ぎ高価な装備やアイテムをばらまいて
 何処かに逃亡しているケースが圧倒的に多いと思われます。
 
 恐らく数分後に回収用のキャラクタを使い、アイテムを回収していると思われます。
 それらのアイテムを見つけ次第、拾って掲示板に報告される方がいますので
 装備の耐久や色などをメモしておくと良いかもしれません。
 
 また、MMOを使用してアイテムを勝手に売りに出されたり、購入したりするケースもあります。
 ネクソンの他のゲームで使われていることもあります。
 
 ネクソンポイントは、必要な分だけチャージして余分に溜め込まないことです。

パスワードの管理と強度

>パスワードが漏れる可能性は、下記のようなものがあります。

  ・OS(Windows)やFlash Playerの脆弱性(セキュリティホール)からの不正アクセス。
  ・スパイウェアやウィルスなど。
  ・外部サイトや外部サービスで漏洩しており、それらと共有していた。

  パスワードを解析する方法は、大きく分けて辞書攻撃と総当たり攻撃です。
  
  辞書攻撃とは、予めパスワードに使われそうな単語のリストを作っておき、
  そのリストを元に認証を試みる方法です。
  
  次に総当たり攻撃は、1文字ずつa~Z、0~9まで切り替えながら認証を試みる方法です。
  総当たり攻撃は、あまりに時間が掛かるため、現実的ではありません。
  

>パスワードの強度と管理

  ● 予測不可解な文字列を作る
  
   「DpcqOoR1UHH2K4N9」
   「^o(;<+_}2WVvsaQa」
  
   このような文字列は、何の意味も含まない文字の羅列であり、誰も予測できません。
  
   Password Generator ( ランダムな文字列を生成してパスワードの候補を生成してくれる )
   http://www.graviness.com/temp/pw_creator/
  
   これでパスワード辞書による不正な認証のほとんどを回避することができます。
  
  ● パスワードは、長いほうが良いか?
  
   パスワードは、長ければ長いほど強度を保ちます。
   例えば、4桁の数字やアルファベットのみのパスワードは、わずか数秒~数分もあれば、一通り認証を試みることができます。
   6文字では、数時間ですが8文字以上では、数日~数年掛かります。
   
   そのため、最低でも8文字以上、できれば16文字ぐらい。
   また長さに加えて異なる文字種も混ぜると効果的です。大文字や小文字、記号を適度に混ぜるわけです。
   
   [結論]そのシステムが埋める最大文字数を埋めよ。使用可能な全文字種を使えよ。
   
  ● パスワードの共有
  
   ネクソンIDとマビノギのパスワードは、別々にしておくのが好ましいです。
   他のサービスで利用しているパスワードに対しても同等のことが言えます。
   パスワードの共有を防ぐことで流出した場合に被害に遭わずに済みます。
   
   先日もYahooのパスワードが流出していたこと、ソニーの某事件など他のサービスがハッキングを受けて
   パスワードが流出してしまうことは、よくあることです。
   
  ● 定期的なパスワードの変更
  
   これについては、様々な議論が展開されているが、基本的にあまり意味はない。
   パスワード辞書や総当たりにより認証を繰り返し試行しているとしたら、
   変えた先のパスワードが運悪く数分後に一致してしまうかも知れない。
   
   予め、強いパスワード(解析されにくい)を作っておけば、定期的に変更する必要は、あまりありません。
   
   ネカフェや公共のPC、社内PCなど自宅以外や自分が管理しているPC以外でネクソンやマビノギのサイト、
   ゲームにログインした場合は、帰宅後、自分のPCからパスワードを変更すれば良いでしょう。
   また自宅以外のPCでそもそもログインしないことが得策かも知れませんが万が一にでもログインした場合は、
   ブラウザの履歴・Cookie・一時ファイルを出来れば、削除しておきましょう。
   
  ● パスワードをどのように管理するか。
  
   パスワードは、パソコンや他のWebサービス等にメモとして記憶しないことです。
   とはいえ、「^o(;<+_}2WVvsaQa」このようなパスワードを覚えておくことは、ほぼ不可能ですし、
   忘れた場合に思い出すことも不可能です。
   
   "ID Manager"などのパスワード管理ツールを使うのも効果的です。
   これらのツールを使うのが不安な人は、紙にパスワードを暗号化してメモしておき、財布の中に入れておけば良いでしょう。
   「mabinogi」というパスワードだった場合に「<snompho」とメモしておきます。
   これは、本来のパスワードの文字の一つ右のキーです。このようなルールを独自で決めておくわけです。
   そのルールにさえ基づければ、一見意味不可解な文字列も本人は、復号できるわけです。
   
   ID Manager
   http://www.forest.impress.co.jp/lib/home/house/auction/idmanager.html

セキュリティ対策

> セキュリティを最新の状態に維持する。

 OS(Windows)やFlash Player、ブラウザなどには、脆弱性(セキュリティホール)がいくつもあり、
 それらを突いて不正に有害なプログラムを実行されたりします。
 ゼロディアタック(パッチが公開される前や作られる前の段階での攻撃)に対しては、無力ですが
 週1でMicrosoft Updateを確認して未適応のhotfixを適応したり、Flash Playerやブラウザの更新の有無を確認して
 常に最新の状態に維持しておきましょう。もちろんウィルス対策ソフトも常に最新状態を維持しておきましょう。

 未だにIE6が使われてたりするPCは、多数の脆弱性が残ったままの可能性が高いですので、
 そういうPCでは、そもそもログインしないに限ります。

被害にあったら?

> アカウントハックを受けたらパスワードを速やかに変更する。

 ゲーム中に不自然な切断が繰り返された場合、アカウントハックを疑うべきです。
 相手よりも先にパスワードをとにかく変更しましょう。
 変更することで相手は、ログインできなくなります。
 この時、ログインのし合いが起きていた場合は、それと並行しておきます。
 
 またネクソンIDのパスワード、マビノギのパスワードどちらも変更しておきましょう。
 
> アカウントハックされた後にそのアカウントを使い続けることは?

 パスワードが変更できていれば、特に問題ありません。

> 警察に相談するべきかどうか。

 現状の法律では、被害にあったのは、サービス運営者になります。
 恐らく、不正アクセスは、電子計算機損壊等業務妨害罪といったところに辺り、
 ネクソンが被害届けを出す流れです。
 この場合、ゲーム内のアイテムやマネーは、保障されることは、あまりないです。
 ネクソンポイントなど間接的にでも現実のお金が絡んでいる場合は、保障される可能性もあります。
 
 警察への相談は、サイバー犯罪を専門に扱う部署に直接行うべきです。
 通常の警察にいっても門前払いされているとの報告が数多くあります。
 まだまだ日本では、データの価値というものは、認識されていないのです。

> できる限り情報をまとめておく。

 不正に個人情報が書き換えられていたり、何らかの被害に遭っている場合、
 それをスクリーンショットで保存しておくなどして、どのような状況だったか、
 情報をまとめておくと良いでしょう。

重要な追加対策

2011年5月以降もアカハックが頻発したため、運営も新しい対策システムを導入しています。
追加というより必須対策。

ワンタイムパスワード

通常のNEXON IDとパスワードによるログインに加え、さらにもう一段階使い捨ての
パスワードを設定するサービスです。

NEXONポイントセキュリティ

NEXONポイントを利用するゲームを選択し、その他のゲームではNEXONポイントの
使用を制限できるサービスです。

NEXONポイント使用通知メール

NEXONポイントを使用した際に通知メールを受信できる、メール認証サービスの
オプションサービスです。
NEXON ID会員情報修正ページ内の「メール認証サービス内容」欄で
『「NEXONポイント使用通知メール」を受け取る』という項目にチェックを入れてください。

簡易掲示板

新しくスレを立てる時はこのフォームから作れます。
スレにコメントを付ける時は、各スレの下のコメントフォームから書き込めます。

参考に

わたお? (2012-01-08 (日) 11:21:42)

昨日から、マビノギ公式、ネクソンポイントサイトにログインしようとすると
「IDまたはパスが違っている、あるいは何度も間違えたためログインできない」と出る
エラーが頻発していました。

今日になってNEXON IDに登録してあるメールアドレスを確認したのですが、
「第三者に侵入された可能性がある」とのシステムメッセージが出て、
実際にその形跡を確認しました。
(まだ見ていない4日前のメールが開封されていました)

NEXON IDはメールに記載されており、
マビノギIDもそこから類推されやすいものなので、バレているだろうと思います。

ただ、パスはNEXONとマビノギで違うものにしてあり、マビ以外では使っていないものだったので
相手は現在パスを手当たり次第に当たっている状態で、
そのため公式やポイントサイトで「何度も間違えたエラー」が出ているんじゃないかと・・・

IDとメールアドレスがばれているので
簡易パスを発行されたらオシマイだったのですが
そのさいにワンタイムパスが必要になる(はずだったと思う)ので
ぎりぎり守られた感じです。

とりあえずメールのパスは変更したのですが、
ネクソンサイトにログインできればすぐにアドレス変更しようと思っています。
運営にもメールしたほうがいいのかな?
NEXON IDとマビIDはパス変更したとたんに抜かれるって話もあるし、
あとどういう対策とればいいのかわからない・・
これもした方がいいとかあれば教えてくださいー@x@;


最近似たような兆候があったというギルメンさんの話もありましたし
ご注意ください。
現在進行形で薄氷の上に立っているオワタさんのレポートでした・・・